Een L2TP/IPsec-server achter een NAT-T-apparaat configureren

  • Artikel

In dit artikel wordt beschreven hoe u een L2TP/IPsec-server achter een NAT-T-apparaat configureert.

Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 926179

Samenvatting

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.

Standaard bieden Windows Vista en Windows Server 2008 geen ondersteuning voor INTERNET Protocol Security (IPsec) network address translation (NAT) Traversal (NAT-T)-beveiligingskoppelingen naar servers die zich achter een NAT-apparaat bevinden. Als de VPN-server (Virtual Private Network) zich achter een NAT-apparaat bevindt, kan een VPN-clientcomputer met Windows Vista of Windows Server 2008 geen L2TP-/IPsec-verbinding (Layer 2 Tunneling Protocol) maken met de VPN-server. Dit scenario omvat VPN-servers met Windows Server 2008 en Windows Server 2003.

Vanwege de manier waarop NAT-apparaten netwerkverkeer vertalen, kunnen er onverwachte resultaten optreden in het volgende scenario:

  • U plaatst een server achter een NAT-apparaat.
  • U gebruikt een IPsec NAT-T-omgeving.

Als u IPsec moet gebruiken voor communicatie, gebruikt u openbare IP-adressen voor alle servers waarmee u verbinding kunt maken via internet. Als u een server achter een NAT-apparaat moet plaatsen en vervolgens een IPsec NAT-T-omgeving moet gebruiken, kunt u communicatie inschakelen door een registerwaarde op de VPN-clientcomputer en de VPN-server te wijzigen.

Registersleutel AssumeUDPEncapsulationContextOnSendRule instellen

Voer de volgende stappen uit om de registerwaarde AssumeUDPEncapsulationContextOnSendRule te maken en te configureren:

  1. Meld u aan bij de Windows Vista-clientcomputer als een gebruiker die lid is van de groep Administrators.

  2. Selecteer Start>All Programs>Accessories>Run, typ regediten selecteer ok. Als het dialoogvenster Gebruikersaccountbeheer op het scherm wordt weergegeven en u wordt gevraagd uw beheerderstoken te verhogen, selecteert u Doorgaan.

  3. Selecteer de volgende registersubsleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Opmerking

    U kunt ook de DWORD-waarde AssumeUDPEncapsulationContextOnSendRule toepassen op een VPN-clientcomputer op basis van Microsoft Windows XP Service Pack 2 (SP2). Zoek en selecteer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec de registersubsleutel om dit te doen.

  4. Wijs in het menu Bewerkende optie Nieuw aan en selecteer vervolgens DWORD -waarde (32-bits).

  5. Typ AssumeUDPEncapsulationContextOnSendRule en druk op Enter.

  6. Klik met de rechtermuisknop op AssumeUDPEncapsulationContextOnSendRule en selecteer vervolgens Wijzigen.

  7. Typ in het vak Waardegegevens een van de volgende waarden:

    • 0

      Dit is de standaardwaarde. Wanneer deze is ingesteld op 0, kan Windows geen beveiligingskoppelingen tot stand brengen met servers die zich achter NAT-apparaten bevinden.

    • 1

      Wanneer deze is ingesteld op 1, kan Windows beveiligingskoppelingen tot stand brengen met servers die zich achter NAT-apparaten bevinden.

    • 2

      Wanneer deze is ingesteld op 2, kan Windows beveiligingskoppelingen tot stand brengen wanneer zowel de server als de VPN-clientcomputer (Windows Vista of Windows Server 2008) zich achter NAT-apparaten bevinden.

  8. Selecteer OK en sluit register Editor af.

  9. Start de computer opnieuw op.